Fortinet lança o mais recente relatório sobre a evolução do ransomware: Black Basta e Big Head

Fortinet lança o mais recente relatório sobre a evolução do ransomware: Black Basta e Big Head

Quinzenalmente, a FortiGuard Labs recolhe dados sobre as variantes de ransomware que têm vindo a evoluir na sua base de dados e na comunidade Open Source Intelligence (OSINT). O relatório Ransomware Roundup tem como objetivo partilhar uma breve visão sobre a evolução do panorama de ransomware.

A última edição do Ransomware Roundup, referente ao mês de junho, destaca o Black Basta e Big Head como os ataques de ransomware emergentes. No que consistem, qual o impacto, como funcionam e quem são as principais vítimas?

Black Basta

o Visão geral

Nos últimos meses, o ransomware Black Basta tem sido notícia por, alegadamente, ter comprometido organizações europeias e norte-americanas de alto nível numa variedade de sectores, como outsourcing, tecnologia e indústria transformadora.

A história do ransomware Black Basta remonta pelo menos a abril de 2022, com uma empresa nos Estados Unidos a ser uma das primeiras vítimas. Desde então, o Black Basta expandiu lentamente as suas operações com o grupo supostamente a comprometer e roubar dados de um contratante do governo dos EUA e de uma empresa aeroespacial e de defesa dos EUA no final de 2022.

O Black Basta opera num modelo de Ransomware-as-a-Service (RaaS), no qual os programadores oferecem um serviço de ransomware, uma infraestrutura para o processamento de pagamentos e negociação de resgates, e apoio técnico aos seus afiliados. Quando um afiliado consegue que uma vítima pague um resgate, o Black Basta recebe uma parte. Os afiliados são responsáveis por selecionar os alvos, mover-se lateralmente através da rede das vítimas, roubar dados e implementar o ransomware.

o Vetor de infeção

O Black Basta utiliza técnicas que vão desde o spearphishing até à aquisição de acesso através de IABs (Initial Access Brokers) para obter o acesso inicial. O acesso também é obtido utilizando malware de outros grupos, como o QakBot (QBot). A exploração das vulnerabilidades PrintNightmare (CVE-2021-34527) e Follina (CVE-2022-30190) também foi registada.

o Execução

A FortiGuard Labs está ciente de que a componente de ransomware do Black Basta foi elaborada como um executável do Windows, mais recentemente como uma DLL do Windows e, adicionalmente, como um executável do Linux.

o Vitimologia

Durante esta investigação, o site Black Basta data leak indicava mais de 200 vítimas na América do Norte e na Europa. Mais de 60% das alegadas vítimas são organizações norte-americanas. O distante segundo lugar pertence à Alemanha, com 15%, seguida pelo Canadá, com cerca de 6%.

Dividimos a lista de vítimas em quatro grupos: de vítimas mais antigas para vítimas mais recentes. Enquanto o grupo de vítimas mais antigas abrange 12 países, o segundo e o terceiro grupo de vítimas incluem apenas oito países. O último grupo de vítimas tem apenas seis países (EUA, Alemanha, Canadá, Itália, Reino Unido e Eslovénia), o que pode indicar que os afiliados da Black Basta reduziram a lista de alvos.

Quanto aos sectores visados, mais de 25% das vítimas estão nos sectores da indústria transformadora, construção, serviços e retalho. No entanto, 50% das vítimas pertencem a esses quatro sectores. Outros sectores afetados incluem o jurídico, os armazéns, as finanças e as TI. Saiba mais aqui.

Big Head

o Visão geral

A FortiGuard Labs deparou-se, recentemente, com uma nova variante de ransomware chamada Big Head, que foi lançada em maio de 2023. Embora existam pelo menos três variantes do ransomware Big Head, foram todas concebidas para encriptar ficheiros nos equipamentos das vítimas para extorquir dinheiro, tal como outras variantes de ransomware.

o Vetor de infeção

Uma das variantes do ransomware Big Head exibe uma falsa atualização do Windows, indicando que o ransomware também foi potencialmente distribuído como uma falsa atualização do Windows. Uma das variantes tem um ícone do Microsoft Word e foi provavelmente distribuída como software falsificado.

Até ao momento desta investigação, não há indicação de que o Big Head esteja disseminado.

o Execução

A FortiGuard Labs tem conhecimento de pelo menos duas variantes do ransomware Big Head, que chamamos de variantes A e B:

Variante A

Uma vez executada, a variante A do ransomware Big Head exibe uma janela falsa de atualização do Windows para enganar os utilizadores e levá-los a acreditar que este é um procedimento legítimo.

A falsa atualização do Windows dura cerca de 30 segundos e fecha automaticamente. Quando a falsa atualização é concluída, o ransomware já encriptou ficheiros nos equipamentos comprometidos com nomes aleatoriamente alterados.

O ransomware abre então uma nota de resgate intitulada "README [número aleatório de sete dígitos] que exige que as vítimas contactem o atacante por e-mail ou telegram para desencriptação dos ficheiros e reposição dos dados.

Variante B

Embora a variante B do ransomware Big Head não tenha encriptado quaisquer ficheiros no nosso ambiente de teste, foi também concebida para encriptar ficheiros em equipamentos comprometidos. A nossa análise concluiu que a variante B utiliza um ficheiro PowerShell chamado "cry.ps1" para encriptação de ficheiros. Em alguns casos, a variante B não elimina o cry.ps1 e a encriptação de ficheiros não acontece. No entanto, isso não impede a variante B de substituir a imagem do ambiente de trabalho pela sua própria nota de resgate. Tal como a variante A, a nota de resgate pede às vítimas que contactem o atacante através do mesmo endereço de e-mail ou canal de telegram. A diferença é que a nota de resgate da variante B inclui uma taxa de resgate em Bitcoin. A taxa de resgate relativamente baixa indica que o ransomware Big Head é usado para atingir consumidores e não empresas.

o Vitimologia

A maioria das samples do ransomware Big Head foram enviadas dos Estados Unidos. Outro ransomware utilizado pelo mesmo atacante foi enviado dos Estados Unidos, Espanha, França e Turquia. Saiba mais aqui.